C:\Windows\System32\drivers\etc\hosts被修改病毒现在一大堆怎么办？ bbs.ikaka.com

cpbeginner - 2009-2-18 10:48:00

C:\Windows\System32\drivers\etc\hosts被修改病毒现在一大堆怎么办？
hosts中的内容变成这样了
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
我试过了用记事本打开编辑全部删除了
但是保的时候就会出现“不能创建文件C:\Windows\System32\drivers\etc\hosts。请确认路径和文件名是否正确”这样的提示语
然后就不能保存了。。。
安全模式下也是一样的提示

用户系统信息：Mozilla/4.0 (compatible;ak; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; CIBA; MAXTHON 2.0)

附件: 日志扫描报告.txt

超级游戏迷 - 2009-2-18 10:52:00

vivista操作系统不熟悉……看看hosts文件是否是“只读”属性……

cpbeginner - 2009-2-18 10:53:00

之前一直都没有做过任何的修改不是“只读”的
需要改成“只读”么？

天月来了 - 2009-2-18 10:57:00

你是Windows Vista SP1 系统，所以不好处理

这里下载映像劫持清除管理工具，清除检测到的劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625

去下载我置顶工具贴里附带“删除顽固文件插件”的SRENG工具，用那删除工具删除下面项目中的对应文件

==================================
驱动程序
[ftzisy / ftzisy][Running/Boot Start]
<\SystemRoot\system32\drivers\tgr.sys><N/A>

[NsDlRK250 / NsDlRK250][Stopped/Manual Start]
<\??\C:\Windows\system32\Nskhelper2.sys><N/A>

[nsPsDk00 / nsPsDk00][Stopped/Manual Start]
<\??\C:\Windows\system32\nsPass0.sys><N/A>

cpbeginner - 2009-2-18 10:59:00

好的我去试试看

天月来了 - 2009-2-18 10:59:00

日志中的HOSTS 文件部分，竟然没看到什么东西耶

你将HOSTS 文件复制到桌面，修改后，将文件复制回原来位置替换试试

backway - 2009-2-18 11:19:00

蹊跷，日志的hosts正常。
LZ的磁盘是NTFS格式的？

超级游戏迷 - 2009-2-18 11:23:00

引用:

原帖由 backway 于 2009-2-18 11:19:00 发表
蹊跷，日志的hosts正常。
LZ的磁盘是NTFS格式的？

VISTA系统的话，系统所在分区必须用NTFS格式，不能用胖子格式……

backway - 2009-2-18 11:28:00

的确，看到天月说日志里的hosts正常就去看那部分了。。。
那就应该是权限问题了。
LZ对drivers、etc、hosts逐个查看属性，在里面看权限什么样的。权限有继承性。

cpbeginner - 2009-2-18 11:29:00

我复制过去说权限不够总是弹出瑞星的窗口来问我是否允许

天月来了 - 2009-2-18 11:30:00

噢
那是瑞星的主动防御阻止你了

那是瑞星在监控那文件

你自己要做事，难道你自己还不让瑞星允许你改改？？？？

天月来了 - 2009-2-18 11:31:00

嘿

瑞星阻止了啦

别考虑权限了

cpbeginner - 2009-2-18 11:35:00

我复制过去说权限不够总是弹出瑞星的窗口来问我是否允许

cpbeginner - 2009-2-18 11:36:00

恩恩但是我点允许了还是不行啊。。。

backway - 2009-2-18 11:37:00

瑞星有提示直接点允许。。。

另外刚才我也试了，瑞星有提示时一直按允许，可以修改并保存hosts的。

cpbeginner - 2009-2-18 11:38:00

恩点了去都点了允许最后还是不行

cpbeginner - 2009-2-18 11:41:00

斑竹还有个问题我用哪个映像劫持清除工具了检测出了53项但是不能删除？？？？

backway - 2009-2-18 11:45:00

还是说权限不够？
你看下刚才我说的那些文件权限吧

cpbeginner - 2009-2-18 11:52:00

好的

cpbeginner - 2009-2-18 11:58:00

我看了一下不是继承的。。

瑞星卡卡安全论坛